漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_STA:MPL

北京時間2022年10月11日21:11:11，CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

① 攻擊者（0x2df9...）調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

動態 | DX.Exchange修復泄漏用戶數據的關鍵漏洞:據cointelegraph報道，愛沙尼亞加密貨幣和代幣化證券交易所DX.Exchange修復了一個泄漏敏感用戶數據的關鍵漏洞。技術新聞網站Ars Technica在1月9日報道了該安全漏洞，并引用了一位匿名交易員對DX.Exchange的安全性分析。據報道，目前該泄漏已得到修復。Ars Technica詢問DX.Exchange是否計劃重置所有用戶的令牌或密碼，并通知用戶他們的姓名和電子郵件地址被泄露。到目前為止，該交易所的官員還沒有做出回應。[2019/1/11]

動態 | 慢霧區發布XRP假充值漏洞預警:據慢霧區披露，瑞波幣(XRP)存在假充值漏洞（類似于之前披露的 USDT 及以太坊代幣假充值漏洞），已有真實攻擊在發生，一旦攻擊成功，會非常嚴重。[2018/7/30]

② 攻擊者提取了Stax Frax/Temple LP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

漏洞分析

NEO對于存儲區注入漏洞發布聲明:Neo Global Development (NGD)聯合Red4Sec及各個受該漏洞影響的項目方發布聲明稱，此次存儲區注入的漏洞是一些項目的智能合約代碼造成的，與NEO區塊鏈底層無關。[2018/5/19]

導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

CertiK中文社區

企業專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags：STASTAKMPLINGStabilize BSCstaking幣圈MPL價格Thanksgiving Floki

加密貨幣